Cisco Secure ACS Appliance ユーザガイド 3.2
ネットワーク設定
ネットワーク設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

ネットワーク設定

ネットワーク設定について

分散システムについて

分散システムでの AAA サーバ

分散システムのデフォルト設定

分散システムでのプロキシ

接続障害時のフォールバック

文字列

ストリッピング

企業内のプロキシ

リモートでのアカウンティング パケットの使用

システムの分散によって使用可能になるその他の機能

ネットワーク デバイスの検索

ネットワーク デバイスの検索基準

ネットワーク デバイスの検索

AAA クライアントの設定

AAA クライアント設定のオプション

AAA クライアントの追加

AAA クライアントの編集

AAA クライアントの削除

AAA サーバ設定

AAA サーバ設定のオプション

AAA サーバの追加

AAA サーバの編集

AAA サーバの削除

リモート エージェントの設定

リモート エージェントについて

リモート エージェント設定のオプション

リモート エージェントの追加

リモート エージェント設定の編集

リモート エージェント設定の削除

ネットワーク デバイス グループの設定

ネットワーク デバイス グループの追加

未割り当ての AAA クライアントまたは AAA サーバの NDG への割り当て

AAA クライアントまたは AAA サーバの NDG への再割り当て

ネットワーク デバイス グループの名前の変更

ネットワーク デバイス グループの削除

Proxy Distribution Table の設定

Proxy Distribution Table について

Proxy Distribution Table の新しいエントリの追加

配信エントリの文字列照合順序のソート

Proxy Distribution Table のエントリの編集

Proxy Distribution Table のエントリの削除

ネットワーク設定

この章では、AAA クライアント、AAA サーバ、およびリモート エージェントと対話するための Cisco Secure ACS Appliance の設定、および分散システムを確立するための概念と手順について説明します。

この章では、次のトピックについて取り上げます。

「ネットワーク設定について」

「分散システムについて」

「分散システムでのプロキシ」

「ネットワーク デバイスの検索」

「AAA クライアントの設定」

「AAA サーバ設定」

「リモート エージェントの設定」

「ネットワーク デバイス グループの設定」

「Proxy Distribution Table の設定」

ネットワーク設定について

Network Configuration をクリックすると表示されるページの内容は、Interface Configuration セクションで選択したネットワーク設定に応じて異なります。このセクションには、次の 5 つのテーブルが表示されます。

AAA Clients :このテーブルには、ネットワーク上で設定済みの各 AAA クライアントと、その IP アドレスおよび関連付けられたプロトコルのリストが示されます。

Network Device Group(NDG; ネットワーク デバイス グループ)を使用している場合、このテーブルは最初のページに表示されませんが、Network Device Group テーブルからアクセスできます。このインターフェイス設定の詳細については、「高度なオプション」を参照してください。

AAA Servers :このテーブルには、ネットワーク上で設定済みの各 AAA サーバと、その IP アドレスおよび関連付けられたプロトコルのリストが示されます。

NDG を使用している場合、このテーブルは最初のページには表示されませんが、Network Device Group テーブルからアクセスできます。このインターフェイス設定の詳細については、「高度なオプション」を参照してください。

Remote Agents :このテーブルには、設定済みの各リモート エージェントと、その IP アドレスおよび使用可能なサービスのリストが示されます。リモート エージェントの詳細については、「リモート エージェントについて」を参照してください。

このテーブルは、Interface Configuration で Distributed System Settings 機能を使用可能にしなかった場合は表示されません。

NDG を使用している場合、このテーブルは最初のページには表示されませんが、Network Device Group テーブルからアクセスできます。このインターフェイス設定の詳細については、「高度なオプション」を参照してください。

Network Device Groups :このテーブルには、設定済みの各 NDG の名前と、各 NDG に割り当てられた AAA クライアントと AAA サーバの数のリストが示されます。NDG を使用している場合、AAA Clients テーブルと AAA Servers テーブルは最初のページに表示されません。AAA クライアントまたは AAA サーバを設定するには、そのデバイスを割り当てている NDG の名前をクリックします。新しく設定したデバイスを NDG に割り当てなかった場合、そのデバイスは自動的に(Not Assigned)グループに属します。

このテーブルが表示されるのは、NDG を使うようにインターフェイスを設定した場合だけです。このインターフェイス設定の詳細については、「高度なオプション」を参照してください。

Proxy Distribution Table :Proxy Distribution Table を使用すると、「ドメイン」のストリッピングなどのプロキシ機能を設定できます。詳細については、「Proxy Distribution Table の設定」を参照してください。

このテーブルが表示されるのは、インターフェイスの設定で Distributed Systems Settings を使用可能にした場合だけです。このインターフェイス設定の詳細については、「高度なオプション」を参照してください。

分散システムについて

Cisco Secure ACS は分散システムで使用できます。つまり、複数の Cisco Secure ACS と Authentication, Authorization, and Accounting(AAA; 認証、許可、アカウンティング)サーバが互いにプライマリ、バックアップ、クライアント、ピアのいずれかのシステムとして通信するように、それらの ACS と AAA サーバを設定できます。この設定をすると、次のような強力な機能を利用できます。

プロキシ

接続障害時のフォールバック

CiscoSecure データベースの複製

リモート ロギングと中央ロギング

分散システムでの AAA サーバ

「AAA サーバ」は Access Control Server(ACS; アクセス制御サーバ)を表す一般的な用語であり、多くの場合、この 2 つの用語を区別しないで使用しています。AAA サーバは、誰がネットワークにアクセスできるか、および各ユーザにどのサービスを許可するかを判定するのに使用されます。AAA サーバには、各ユーザの認証情報と許可情報を含むプロファイルが格納されます。認証情報はユーザ ID の検証に使用され、許可情報は、どのネットワーク サービスの利用をユーザに許可するかを判定するために使用されます。1 つの AAA サーバがいくつものダイヤルアップ アクセス サーバ、ルータ、およびファイアウォールに同時に AAA サービスを提供できます。各ネットワーク デバイスは AAA サーバと通信するように設定できます。この設定により、ダイヤルアップ アクセスを集中管理したり、ネットワーク デバイスへの不正アクセスを防止できます。

この種のアクセス制御には、固有の認証要件と許可要件があります。Cisco Secure ACS では、システム管理者は、使用される許可権限の度合いが異なるさまざまな認証方法を使用できます。

AAA の全機能を持つことで、Cisco Secure ACS はアカウンティング情報の中央リポジトリとして機能します。Cisco Secure ACS によって許可された各ユーザ セッションを完全に捕捉でき、そのアカウンティング情報をサーバに格納できます。このアカウンティング情報は課金、キャパシティ計画、およびセキュリティ監査に利用できます。


) この項で説明するフィールドが Cisco Secure ACS の HTML インターフェイスに表示されない場合、それらのフィールドを使用可能にするには、Interface Configuration をクリックしてから、Advanced Options をクリックし、Distributed System Settings チェックボックスをオンにします。


分散システムのデフォルト設定

分散システムの設定には、AAA Servers テーブルと Proxy Distribution Table の両方を使用します。これらのテーブルに設定するパラメータは、複数の Cisco Secure ACS の相互動作を可能にする設定の基礎になります。各テーブルには、Cisco Secure ACS 自体のエントリがあります。AAA Servers テーブルに最初に表示される AAA サーバは、Cisco Secure ACS だけです。Proxy Distribution Table の初期エントリは (Default) です。これには、ローカルの Cisco Secure ACS が各認証要求をローカルでどう処理するように設定されているかが示されます。

追加の AAA サーバは AAA Servers テーブルで設定できます。この設定をすると、それらのデバイスを HTML インターフェイスで使えるようになり、その他の分散機能(プロキシ、CiscoSecure ユーザ データベース複製、リモート ロギング、RDBMS 同期など)をそれらのデバイスに対して設定できます。追加の AAA サーバの設定については、「AAA サーバの追加」を参照してください。

分散システムでのプロキシ

プロキシは強力な機能であり、複数の AAA サーバを使用するネットワークで Cisco Secure ACS を使って認証することを可能にします。プロキシを使用している場合、Cisco Secure ACS は AAA クライアントからの認証要求を自動的に別の AAA サーバに転送します。要求が正常に認証されると、リモート AAA サーバ上のそのユーザ用に設定されている許可権限が元の Cisco Secure ACS に戻され、その Cisco Secure ACS の AAA クライアントが、戻されたユーザ プロファイル情報をそのセッションで使用します。

プロキシは、普段使っているネットワーク デバイスとは異なるデバイスに(出張先などから)ダイヤルインするユーザの役に立ちます。プロキシを使用していない場合、そういったユーザは「外部」の AAA サーバによって認証されます。プロキシを使用するには、まず Interface Configuration をクリックし、次に Advanced Options をクリックしてから、 Distributed System Settings チェックボックスをオンにします。

認証要求を転送するかどうか、および転送する場合はどこに転送するかは、Network Configuration ページの Proxy Distribution Table で指定します。ネットワーク内で複数の Cisco Secure ACS を使用してもかまいません。Proxy Distribution Table の設定については、「Proxy Distribution Table の設定」を参照してください。

Cisco Secure ACS は管理者が定義する文字列を使って、認証要求をローカルに処理するか、または転送するかを判定し、どこに転送するかを判定します。エンド ユーザがネットワーク デバイスにダイヤルインし、一致する文字列が Proxy Distribution Table に定義されていると、Cisco Secure ACS によって、対応するリモート AAA サーバに認証要求が転送されます。


) プロキシによって転送された TACACS+ 認証要求を Cisco Secure ACS が受信した場合、その TACACS+ 要求のネットワーク アクセス制限は、発信元の AAA クライアントの IP アドレスではなく、転送先の AAA サーバの IP アドレスに対して適用されます。



) ある Cisco Secure ACS から第 2 の Cisco Secure ACS にプロキシされる場合、その第 2 の Cisco Secure ACS が第 1 の Cisco Secure ACS を AAA サーバとして認識すると、VSA ではなく IETF アトリビュートだけを使って第 1 の Cisco Secure ACS に応答します。あるいは、第 2 の Cisco Secure ACS から Cisco Secure ACS が AAA クライアントに見えるように設定することもできます。この場合、第 2 の Cisco Secure ACS からの応答には、AAA クライアント定義テーブルのエントリにどの RADIUS ベンダーが指定されていても、(他のあらゆる AAA クライアントと同様に)そのベンダーの RADIUS VSA が含まれます。


たとえば、Cisco Secure ACS が mary.smith@corporate.com の認証要求を受信し、「@corporate.com」という文字列が別の特定の AAA サーバに関連付けられた文字列としてサーバ分散テーブルに定義されているとします。この場合、mary.smith@corporate.com の認証要求を受信した Cisco Secure ACS は、文字列に関連付けられた AAA サーバにその認証要求を転送します。この関連付けは Proxy Distribution Table 内のエントリによって定義されます。

地理的に分散したネットワークの各管理者は、自分の場所または建物内の従業員のユーザ プロファイルを設定して管理できます。そのため、管理者は自分のユーザだけのポリシーを管理でき、社内の他のユーザからのすべての認証要求は、それらのユーザ各自の AAA サーバに転送して認証を求めることができます。各ユーザ プロファイルが、すべての AAA サーバに存在する必要はありません。このため、管理時間とサーバ スペースが節約され、エンド ユーザは、接続に使用するアクセス デバイスと無関係に同じ特権を得られるようになります。

接続障害時のフォールバック

プライマリ AAA サーバへのネットワーク接続に障害が発生した場合に、Cisco Secure ACS がリモート AAA サーバをどの順序でチェックするかを設定できます。リストの最初に指定したサーバに(たとえばネットワーク障害などの理由で)認証要求を送信できない場合、リストの 2 番目のサーバがチェックされます。いずれかの AAA サーバが認証要求を処理するまで、リストの順番でチェックが継続されます(接続障害は、指定したサーバが指定した時間内に応答できないことで検出されます。この場合、要求がタイムアウトします)。Cisco Secure ACS がリスト内のどのサーバとも接続できない場合、認証は失敗します。

文字列

Cisco Secure ACS は、ドット(.)、スラッシュ(/)、ハイフン(-)などの区切り文字を含む、設定可能な文字列を使って認証要求を転送します。照合のための Cisco Secure ACS 文字列を設定する場合、その文字列がプレフィックスかサフィックスかを指定する必要があります。たとえば、「domain.us」を username*domain.us 内のサフィックス文字列として使えます。* はいずれかの区切り文字を表します。プレフィックス文字列は、たとえば domain.*username などとなります。* は「/」文字の検出に使用します。

ストリッピング

Cisco Secure ACS はストリッピング機能によって、一致する文字列をユーザ名から除去できます。ストリッピングを使用可能にすると、一致する情報が各認証要求にあるかどうかを Cisco Secure ACS が調べます。「分散システムでのプロキシ」で説明したように Proxy Distribution Table 内の文字列と一致する文字列があり、それを削除するように Cisco Secure ACS を設定している場合、その文字列は除去されます。たとえば、次に示すプロキシの例では、ユーザ名に含まれる文字列によって、要求を別の AAA サーバに転送できます。ユーザが mary@corporate.com というユーザ ID を入力して、それを認証のために AAA サーバに適切に転送しなければならない場合、Cisco Secure ACS は「@corporate.com」という文字列が一致することを検出し、「@corporate.com」を除去して、「mary」というユーザ名を残します。この形式のユーザ名が、宛先の AAA サーバがデータベース内のエントリを正しく識別するのに必要なユーザ名になる場合があります。

企業内のプロキシ

この項では、ある企業のシステムで使用するプロキシのシナリオを示します。従業員 Mary のオフィスはロサンゼルス本社にあります。 彼女のユーザ名は mary@la.corporate.com です。ネットワークにアクセスする必要がある場合、Mary はローカルでネットワークにアクセスして、自分のユーザ名とパスワードを認証します。Mary はロサンゼルスのオフィスで働いているので、彼女の(認証と許可の特権を定義する)ユーザ プロファイルはロサンゼルスのローカル AAA サーバにあります。しかし、Mary はニューヨーク事業所に出張することがあり、そこでもネットワークにアクセスして電子メールやその他のファイルを受け取る必要があります。 ニューヨークにいる場合、Mary はニューヨーク オフィスにダイヤルインして、mary@la.corporate.com としてログインします。ニューヨークの Cisco Secure ACS は彼女のユーザ名を認識しませんが、Proxy Distribution Table には、認証要求をロサンゼルスの Cisco Secure ACS に転送するためのエントリ「@la.corporate.com」があります。Mary のユーザ名とパスワードの情報はその AAA サーバにあるので、Mary が正しく認証すると、彼女に割り当てられた許可パラメータがニューヨーク オフィスの AAA クライアントによって適用されます。

リモートでのアカウンティング パケットの使用

プロキシを使用している場合、Cisco Secure ACS は次のいずれかの方法で AAA アカウンティング パケットを送信できます。

アカウンティング パケットをローカルのログに記録する。

アカウンティング パケットを宛先 AAA サーバに転送する。

アカウンティング パケットをローカルのログに記録し、コピーを宛先 AAA サーバに転送する。

アカウンティング パケットをリモートの Cisco Secure ACS に送信することには、いくつかの利点があります。リモート AAA サーバにアカウンティング パケットを送信するように Cisco Secure ACS を設定すると、リモート AAA サーバによって、宛先サーバ上でのそのセッションのアカウンティング レポートにエントリが記録されます。Cisco Secure ACS もユーザ接続情報をキャッシュし、List Logged on Users レポートにエントリを追加します。その後、現在接続しているユーザについての情報を表示できるようになります。アカウンティング情報はリモート AAA サーバに送信されているので、接続に失敗しても、Failed Attempts レポートを参照して接続障害のトラブルシューティングができます。

アカウンティング情報をリモート AAA サーバに送信すると、Max Sessions 機能も使用できるようになります。Max Sessions 機能では、アカウンティング パケット内の Start レコードと Stop レコードが使用されます。リモート AAA サーバが Cisco Secure ACS であり、Max Sessions が実装されている場合、各ユーザまたはグループに許可されているセッション数を確認できます。

Voice-over-IP(VoIP)アカウンティング情報を RADIUS Accounting ログか、別の VoIP Accounting ログのどちらかまたは両方に追加して、リモートで記録することも選択できます。

システムの分散によって使用可能になるその他の機能

分散システムと対話するように Cisco Secure ACS を設定すると、基本的なプロキシ機能とフォールバック機能以外にも、この章には含まれていないいくつかの機能が使用可能になります。これらの機能には、次のものがあります。

複製 :詳細については、「CiscoSecure データベース複製」を参照してください。

RDBMS 同期 :詳細については、「RDBMS の同期」を参照してください。

リモート ロギングと中央ロギング :詳細については、「リモート ロギング」を参照してください。

ネットワーク デバイスの検索

Cisco Secure ACS の HTML インターフェイスの Network Configuration セクションで設定されているネットワーク デバイスは、どれでも検索できます。

この項では、次のトピックについて取り上げます。

「ネットワーク デバイスの検索基準」

「ネットワーク デバイスの検索」

ネットワーク デバイスの検索基準

ネットワーク デバイスを検索する基準を指定できます。Cisco Secure ACS では、次の検索基準を使用できます。

Name :Cisco Secure ACS 内のネットワーク デバイスに割り当てた名前です。アスタリスク(*)をワイルドカード文字として使用できます。たとえば、名前が M の文字で始まるすべてのデバイスを探すには、「M*」または「m*」を入力します。名前による検索では、大文字と小文字は区別されません。デバイスを名前で検索しないようにするには、Name ボックスを空白にしておくか、アスタリスクだけを Name ボックスに入力します。

IP Address :Cisco Secure ACS 内のネットワーク デバイスに指定されている IP アドレスです。アドレス内のオクテットごとに、次の 3 つのオプションを使えます。

Number :値を指定できます(10.3.157.98 など)。

Numeric Range :オクテットの範囲の下限と上限の値をハイフンで区切って指定できます(10.3.157.10-50 など)。

Wildcard :そのオクテットのすべての値に一致するアスタリスク(*)を使えます(10.3.157.* など)。

Cisco Secure ACS では、IP Address ボックスに、値、値の範囲、またはアスタリスクなど複数のオクテットを使用できます(172.16-31.*.* など)。

Type :デバイス タイプです。使うように設定している AAA プロトコル または AAA サーバの種類を指定します。リモート エージェントを検索するように指定することもできます。デバイス タイプを検索の絞り込みに使わないようにするには、Type リストで「Any」を選択します。

Device Group :デバイスが割り当てられている NDG です。この検索基準が表示されるのは、Interface Configuration セクションの Advanced Options ページで Network Device Groups を使用可能にしている場合だけです。NDG メンバーシップを検索の絞り込みに使わないようにするには、Device Group リストで「Any」を選択します。

ネットワーク デバイスの検索

ネットワーク デバイスを検索するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが表示されます。

ステップ 2 Search をクリックします。

Search for Network Devices ページが表示されます。設定領域では、このセッションで前に実行した最後の検索の結果があれば、その結果の上に、検索基準を設定するコントロールが表示されます。


ヒント Search for Network Devices ページを閉じても、現在の管理セッションが続いている間は、検索基準と検索結果が保持されます。Cisco Secure ACS からログアウトしない限り、Search for Network Devices ページに戻って最新の検索基準と結果を参照できます。

ステップ 3 デバイスの検索基準を設定します。検索基準については、「ネットワーク デバイスの検索基準」を参照してください。


ヒント 検索基準をリセットしてデフォルト設定に戻すには、Clear をクリックします。

ステップ 4 Search をクリックします。

Cisco Secure ACS に設定されていて、指定した検索基準に一致する各ネットワーク デバイスがテーブルに示されます。一致するネットワーク デバイスが見つからなかった場合は、「No Search Results」というメッセージが表示されます。

一致するネットワーク デバイスのリストを示すテーブルには、デバイス名、IP アドレス、タイプが表示されます。Interface Configuration セクションの Advanced Options ページで Network Device Groups を使用可能にしている場合は、一致した各ネットワーク デバイスの NDG も表示されます。


ヒント すべてのカラムで、カラムの値の昇順または降順にテーブルの行をソートできます。カラムのタイトルを一度クリックすると、エントリの昇順に行がソートされます。カラムのタイトルをもう一度クリックすると、エントリの降順に行がソートされます。

ステップ 5 検索で見つかったネットワーク デバイスの設定を参照するには、一致したネットワーク デバイスのテーブルの Name カラムにあるネットワーク デバイス名をクリックします。

Cisco Secure ACS に、該当するセットアップ ページが表示されます。AAA Client Setup ページについては、「AAA クライアント設定のオプション」を参照してください。AAA Server Setup ページについては、「AAA サーバ設定のオプション」を参照してください。

ステップ 6 検索結果をカンマ区切り形式で格納したファイルをダウンロードするには、 Download をクリックしてから、ブラウザで保存場所とファイル名を指定します。

ステップ 7 別の基準を使って再び検索するには、ステップ 3 とステップ 4 を繰り返します。


 

AAA クライアントの設定

このガイドでは、「AAA クライアント」という用語は、デバイスを通じてサービス アクセスを試みたり、デバイスへのサービス アクセスを試みる、そのようなデバイスを包括的に表す用語として使用しています。これは RADIUS または TACACS+ のクライアント デバイスであり、ネットワーク アクセス サーバ(NAS)、PIX ファイアウォール、ルータ、または RADIUS か TACACS+ のその他のハードウェアやソフトウェアのクライアントから構成される場合があります。

この項では、次のトピックについて取り上げます。

「AAA クライアント設定のオプション」

「AAA クライアントの追加」

「AAA クライアントの編集」

「AAA クライアントの削除」

AAA クライアント設定のオプション

AAA クライアント設定により、Cisco Secure ACS が、その設定によって表されるネットワーク デバイスと対話できるようになります。対応する設定が Cisco Secure ACS にないネットワーク デバイス、または Cisco Secure ACS での設定が不適切なネットワーク デバイスは、Cisco Secure ACS からの AAA サービスを受けられません。

Add AAA Client ページと AAA Client Setup ページには、次のオプションがあります。

AAA Client Hostname :AAA クライアント設定に割り当てる名前です。各 AAA クライアント設定は複数のネットワーク デバイスを表すことができます。したがって、Cisco Secure ACS で設定する AAA クライアント ホスト名は、ネットワーク デバイスに設定されているホスト名と一致している必要はありません。AAA クライアント ホスト名には、わかりやすい一貫した命名規則を使うことを推奨します。AAA クライアント ホスト名の長さは最大 32 文字です。


) AAA クライアント ホスト名を送信すると、その名前は変更できなくなります。別の名前を AAA クライアントに使用するには、その AAA クライアント設定を削除して、新しい名前で AAA クライアント設定を作成する必要があります。


AAA Client IP Address :最低でも、AAA クライアントの 1 つの IP アドレス、またはキーワード「dynamic」になります。

IP アドレスを使わずにキーワード「dynamic」だけを使った場合、その AAA クライアント設定は、ManagementCenter for Firewalls(Firewall MC)などの、シスコのマルチデバイス管理アプリケーションのコマンド許可だけに使用できます。Cisco Secure ACS は IP アドレスに基づいてデバイスに AAA サービスを提供するので、デバイスの AAA クライアント設定の Client IP Address ボックスにキーワード「dynamic」だけを指定した場合、Cisco Secure ACS はそのデバイスからの要求を無視します。

Cisco Secure ACS 内の 1 つの AAA クライアント設定によって複数のネットワーク デバイスを表すようにするには、複数の IP アドレスを指定します。各 IP アドレスは Enter キーを押して区切ります。

IP アドレスを指定するときは、アドレスの各オクテットに対して次の 3 つのオプションがあります。

Number :値を指定できます(10.3.157.98 など)。

Numeric Range :オクテットの範囲の下限と上限の値をハイフンで区切って指定できます(10.3.157.10-50 など)。

Wildcard :そのオクテットのすべての値に一致するアスタリスク(*)を使えます(10.3.157.* など)。

Cisco Secure ACS では、IP Address ボックスに、値、値の範囲、またはアスタリスクなどのオクテットを使用できます(172.16-31.*.* など)。

Key :AAA クライアントの共有秘密情報です。AAA クライアントのキーの最大長は 32 文字です。

正しく動作するためには、AAA クライアントと Cisco Secure ACS でキーが一致している必要があります。キーは大文字と小文字が区別されます。共有秘密情報は同期されないので、ネットワーク デバイスと Cisco Secure ACS に共有秘密情報を入力する場合に間違いが起きやすくなります。共有秘密情報が一致しない場合、Cisco Secure ACS はそのネットワーク デバイスからのパケットをすべて廃棄します。


) AAA クライアントが複数のネットワーク デバイスを表す場合は、その AAA クライアントが表すすべてのネットワーク デバイスでキーが一致している必要があります。


Network Device Group :この AAA クライアントが属する NDG の名前です。NDG に属さない AAA クライアントにする場合は、Not Assigned を選択します。


) NDG を使うように Cisco Secure ACS を設定していない場合、このオプションは表示されません。NDG を使用可能にするには、Interface Configuration をクリックし、Advanced Options をクリックしてから、Network Device Groups チェックボックスをオンにします。


Authenticate Using :AAA クライアントとの通信に使う AAA プロトコルです。Authenticate Using のリストには、Cisco IOS TACACS+ と、ベンダー固有の一部の RADIUS の実装があります。ユーザ定義の RADIUS ベンダーと VSA を設定した場合、それらのベンダー固有の RADIUS の実装もリストに表示されます。ユーザ定義 RADIUS VSA の作成については、「カスタム RADIUS ベンダーと VSA」を参照してください。

次の選択項目は必ず Authenticate Using リストに含まれています。

TACACS+ (Cisco IOS) :Cisco IOS TACACS+ プロトコルです。Cisco Systems のアクセス サーバ、ルータ、およびファイアウォールを使用している場合の標準項目です。Management Center for Firewalls(Firewall MC)などのシスコのデバイス管理アプリケーションが AAA クライアントの場合は、このオプションを使用する必要があります。

RADIUS (Cisco Aironet) :Cisco Aironet VSA を使用する RADIUS です。LEAP または EAP-TLS を使用して認証するユーザが使う Cisco Aironet Access Point がネットワーク デバイスであり、System Configuration セクションの Global Authentication Setup ページでこれらのプロトコルを使用可能にしている場合は、このオプションを選択します。

RADIUS(Cisco Aironet)AAA クライアントからの認証要求が着信すると、Cisco Secure ACS はまず LEAP を使って認証を試みます。それに失敗した場合、EAP-TLS にフェールオーバーします。Global Authentication Setup ページで LEAP を使用可能にしていない場合、Cisco Secure ACS はすぐに EAP-TLS 認証を試みます。Global Authentication Setup ページで LEAP と EAP-TLS のどちらも使用可能にしていない場合、Cisco Aironet RADIUS クライアントから受け取った認証の試みは、すべて失敗します。LEAP または EAP-TLS を使用可能にする方法の詳細については、「グローバル認証のセットアップ」を参照してください。

このオプションを使うと、Cisco Secure ACS が有線のエンド ユーザ クライアントに送信するユーザ セッションのセッション タイムアウト値とは異なるタイムアウト値を、Cisco Secure ACS が無線ネットワーク デバイスに送信できるようになります。


) 特定の Cisco Aironet Access Point からの認証要求がすべて PEAP または EAP-TLS の要求である場合は、RADIUS(Cisco Aironet)ではなく RADIUS(IETF)を使用します。Cisco Secure ACS は RADIUS(Cisco Aironet)プロトコルを使って PEAP 認証をサポートすることはできません。


RADIUS (Cisco BBMS) :Cisco BBMS VSA を使用する RADIUS です。ネットワーク デバイスが、RADIUS での認証をサポートする Cisco BBMS ネットワーク デバイスである場合は、このオプションを選択します。

RADIUS (Cisco IOS/PIX) :Cisco IOS/PIX VSA を使用する RADIUS です。このオプションを使用すると、Cisco IOS AAA クライアントに送信するコマンドをまとめることができます。それらのコマンドは Group Setup セクションで定義します。Cisco IOS 機器のサポートに TACACS+ の主要な機能が必要な RADIUS 環境では、このオプションを選択します。

RADIUS (Cisco VPN 3000) :Cisco VPN 3000 VSA を使用する RADIUS です。ネットワーク デバイスが Cisco VPN 3000 シリーズ コンセントレータの場合は、このオプションを選択します。

RADIUS (Cisco VPN 5000) :Cisco VPN 5000 VSA を使用する RADIUS です。ネットワーク デバイスが Cisco VPN 5000 シリーズ コンセントレータの場合は、このオプションを選択します。

RADIUS (IETF) :VSA を使用しない、IETF 標準の RADIUS です。メーカーが異なる複数の RADIUS 対応デバイスを AAA クライアントが表していて、標準の IETF RADIUS アトリビュートを使う必要がある場合は、このオプションを選択します。PEAP または EAP-TLS を認証に使うユーザだけが使用する Cisco Aironet Access Point を AAA クライアントが表している場合も、このプロトコルを選択します。

RADIUS (Ascend) :Ascend RADIUS VSA を使用する RADIUS です。ネットワーク デバイスが、RADIUS での認証をサポートする Ascend ネットワーク デバイスである場合は、このオプションを選択します。

RADIUS (Juniper) :Juniper RADIUS VSA を使用する RADIUS です。ネットワーク デバイスが、RADIUS による認証をサポートする Juniper ネットワーク デバイスである場合は、このオプションを選択します。

RADIUS (Nortel) :Nortel RADIUS VSA を使用する RADIUS です。ネットワーク デバイスが、RADIUS による認証をサポートする Nortel ネットワーク デバイスである場合は、このオプションを選択します。

RADIUS (iPass) :iPass RADIUS を使用する AAA クライアントの RADIUS です。 ネットワーク デバイスが、RADIUS による認証をサポートする iPass ネットワーク デバイスの場合は、このオプションを選択します。iPass RADIUS は IETF RADIUS と同じです。

Single Connect TACACS+ AAA Client (Record stop in accounting on failure) :Authenticate Using リストで TACACS+(Cisco IOS)を選択した場合、このオプションで、TACACS+ 要求ごとに新しい TCP 接続を Cisco Secure ACS が使用するのではなく、TACACS+ と AAA クライアントのすべての通信に単一の TCP 接続を使用することを指定できます。単一接続モードでは、ネットワーク デバイスからの複数の要求は単一の TCP セッション上で多重化されます。デフォルトでは、このチェックボックスはオフになっています。


) Cisco Secure ACS と AAA クライアントとの間の TCP 接続に信頼性がない場合は、この機能を使用しないでください。


Log Update/Watchdog Packets from this AAA Client :更新パケット(ウォッチドッグ パケット)のロギングを使用可能にします。ウォッチドッグ パケットはセッションの中で定期的に送信される暫定的なパケットです。AAA クライアントに障害が発生した場合、したがって、セッション終了を表す終了パケットが受信されない場合、ウォッチドッグ パケットによってセッションのおおよその長さがわかります。デフォルトでは、このチェックボックスはオフになっています。

Log RADIUS Tunneling Packets from this AAA Client :RADIUS トンネリング アカウンティング パケットのロギングを使用可能にします。パケットは Reports and Activity の RADIUS Accounting レポートに記録されます。デフォルトでは、このチェックボックスはオフになっています。

Replace RADIUS Port info with Username from this AAA Client :ポート番号ではなくユーザ名をセッション状態のトラッキングに使用するようにします。このオプションは、Gateway GPRS Support Node(GGSN; ゲートウェイ GPRS サポート ノード)など、固有のポート値を AAA クライアントが提供できない場合に役に立ちます。たとえば、Cisco Secure ACS IP プール サーバを使っていて、AAA クライアントが各ユーザに固有のポートを提供しないとします。Cisco Secure ACS では、前のユーザ セッションが終了しており、前に割り当てられていた IP アドレスを固有でないポート番号を持つセッションに再び割り当ててもかまわないことを、再利用されたポート番号が表しているとみなされます。デフォルトでは、このチェックボックスはオフになっています。


) このオプションを使用可能にすると、Cisco Secure ACS はユーザごとのユーザ セッション数を判定できなくなります。各セッションに同一のセッション識別子(ユーザ名)が使用されるので、この機能を使用可能にした AAA クライアントを通じてネットワークにアクセスしているユーザについては、Max Sessions 機能が無効になります。


AAA クライアントの追加

AAA クライアント設定を追加するには、次の手順に従います。

始める前に

AAA クライアント設定を追加するときに使用できるオプションについては、「AAA クライアント設定のオプション」を参照してください。

Cisco Secure ACS から AAA クライアントに AAA サービスを提供するには、適切な AAA プロトコル(RADIUS または TACACS+)のサポートに必要なポートを通じた通信が、AAA クライアントと Cisco Secure ACS との間のゲートウェイ デバイスで許可されている必要があります。AAA プロトコルが使用するポートについては、「AAA プロトコル:TACACS+ および RADIUS」を参照してください。

AAA クライアントを追加するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが表示されます。

ステップ 2 次のいずれかの操作をします。

NDG を使用している場合は、AAA クライアントを割り当てる NDG の名前をクリックします。次に、AAA Clients テーブルの下の Add Entry をクリックします。

NDG を使用可能にしていない場合に AAA クライアントを追加するには、AAA Clients テーブルの下の Add Entry をクリックします。

Add AAA Client ページが表示されます。

ステップ 3 この AAA クライアントに割り当てる名前を AAA Client Hostname ボックスに入力します(最大 32 文字)。

ステップ 4 AAA Client IP Address ボックスで、次のいずれかを実行します。

AAA クライアントの IP アドレスを 1 つまたは複数入力します。ワイルドカード、オクテットの範囲、複数の IP アドレスの使用方法については、「AAA クライアント設定のオプション」を参照してください。

Cisco マルチデバイス管理アプリケーションのコマンド許可にだけ使用する AAA クライアント設定の場合は、 dynamic と入力します。


) キーワード「dynamic」だけを指定すると、Cisco Secure ACS はその AAA クライアント設定を使ってネットワーク デバイスに AAA サービスを提供することができなくなり、その AAA クライアント設定は、Management Center for Firewalls(Firewall MC)などのシスコのマルチデバイス管理アプリケーションのコマンド許可にだけ使用されます。


ステップ 5 AAA クライアントと Cisco Secure ACS がデータの暗号化に使用する共有秘密情報を Key ボックスに入力します(最大 32 文字)。


) 正しく動作するためには、AAA クライアントと Cisco Secure ACS に同じキーを設定する必要があります。キーは大文字と小文字が区別されます。


ステップ 6 NDG を使用している場合は、この AAA クライアントが属する NDG の名前を Network Device Group リストで選択します。NDG に属さない AAA クライアントにする場合は、 Not Assigned を選択します。


) NDG を使用可能にするには、Interface Configuration をクリックし、Advanced Options をクリックしてから、Network Device Groups チェックボックスをオンにします。


ステップ 7 AAA クライアントで使用するネットワーク セキュリティ プロトコルを Authenticate Using リストで選択します。


ヒント Authenticate Using リストで選択するプロトコルが不明の場合は、
「AAA クライアント設定のオプション」を参照してください。

ステップ 8 TACACS+ 要求ごとに新しい接続を追加するのでなく、AAA クライアントからの接続を単一にする場合は、 Single Connect TACACS+ AAA Client (Record stop in accounting on failure) チェックボックスをオンにします。


) Cisco Secure ACS と AAA クライアントとの間の TCP 接続に信頼性がない場合は、この機能を使用しないでください。


ステップ 9 ウォッチドッグ パケットのロギングを使用可能にする場合は、
Log Update/Watchdog Packets from this AAA Client チェックボックスをオンにします。

ステップ 10 RADIUS トンネリング アカウンティング パケットのロギングを使用可能にする場合は、 Log RADIUS tunneling Packets from this AAA Client チェックボックスをオンにします。

ステップ 11 ポート番号ではなくユーザ名を使ってセッション状態をトラッキングする場合は、 Replace RADIUS Port info with Username from this AAA チェックボックスをオンにします。


) このオプションを使用可能にすると、Cisco Secure ACS はユーザごとのユーザ セッション数を判定できなくなります。各セッションに同一のセッション識別子(ユーザ名)が使用されるので、この機能を使用可能にした AAA クライアントを通じてネットワークにアクセスしているユーザについては、Max Sessions 機能が無効になります。


ステップ 12 変更内容を保存して、すぐに適用する場合は、 Submit + Restart をクリックします。


) サービスが再起動されると、Logged-in User レポートがクリアされ、すべての Cisco Secure ACS サービスが一時的に中断されます。これは、Max Sessions カウンタに影響します。



ヒント 変更内容を保存して、後で適用する場合は、Submit をクリックします。変更を適用する準備ができたら、System Configuration をクリックし、Service Control をクリックしてから、Restart をクリックします。


 

AAA クライアントの編集

AAA クライアント設定の内容を編集するには、次の手順に従います。


) AAA クライアントの名前を直接編集することはできません。AAA クライアントのエントリを削除してから、訂正した名前を使ってエントリを作成しなおす必要があります。AAA クライアント設定を削除する手順については、「AAA クライアントの削除」を参照してください。AAA クライアント設定を作成する手順については、「AAA クライアントの追加」を参照してください。


始める前に

AAA クライアント設定を編集するときに使用できるオプションについては、「AAA クライアント設定のオプション」を参照してください。

Cisco Secure ACS から AAA クライアントに AAA サービスを提供するには、適切な AAA プロトコル(RADIUS または TACACS+)をサポートするのに必要なポートを通じた通信が、AAA クライアントと Cisco Secure ACS との間のゲートウェイ デバイスで許可されている必要があります。AAA プロトコルが使用するポートについては、「AAA プロトコル:TACACS+ および RADIUS」を参照してください。

AAA クライアントを編集するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが表示されます。

ステップ 2 次のいずれかの操作をします。

NDG を使用している場合は、AAA クライアントが割り当てられている NDG の名前をクリックします。次に、AAA クライアントの名前をクリックします。

NDG を使用可能にしていない場合に AAA クライアントを編集するには、AAA Clients テーブルの AAA Client Hostname カラムで AAA クライアントの名前をクリックします。

AAA Client Setup For Name ページが表示されます。

ステップ 3 必要に応じて AAA クライアントの設定を修正します。AAA クライアントに使用できる設定オプションについては、「AAA クライアント設定のオプション」を参照してください。


) AAA クライアントの名前を直接編集することはできません。AAA クライアントのエントリを削除してから、訂正した名前を使ってエントリを作成しなおす必要があります。AAA クライアントのエントリを削除する手順については、「AAA クライアントの削除」を参照してください。AAA クライアントのエントリを作成する手順については、「AAA クライアントの追加」を参照してください。


ステップ 4 変更内容を保存して、すぐに適用する場合は、 Submit + Restart をクリックします。


ヒント 変更内容を保存して、後で適用する場合は、Submit をクリックします。変更を適用する準備ができたら、System Configuration をクリックし、Service Control をクリックしてから、Restart をクリックします。


) サービスが再起動されると、Logged-in User レポートがクリアされ、すべての Cisco Secure ACS サービスが一時的に中断されます。これは、Max Sessions カウンタに影響します。



 

AAA クライアントの削除

AAA クライアントを削除するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが表示されます。

ステップ 2 次のいずれかの操作をします。

NDG を使用している場合は、AAA クライアントが割り当てられている NDG の名前をクリックします。次に、AAA Clients テーブルで AAA クライアント ホスト名をクリックします。

NDG を使用可能にしていない場合に AAA クライアントを削除するには、AAA Clients テーブルで AAA クライアント ホスト名をクリックします。

AAA Client Setup for the Name ページが表示されます。

ステップ 3 AAA クライアントを削除して、その削除をすぐに適用するには、 Delete + Restart をクリックします。


) Cisco Secure ACS サービスが再起動されると、Logged-in User レポートがクリアされ、すべての Cisco Secure ACS サービスが一時的に中断されます。再起動しないで AAA クライアントを削除する場合は、代わりに Delete をクリックします。ただし、これを実行した場合、システムを再起動するまで変更は有効になりません。再起動するには、System Configuration をクリックし、Service Control をクリックしてから、Restart をクリックします。


確認のダイアログボックスが表示されます。

ステップ 4 OK をクリックします。

Cisco Secure ACS が AAA サービスを再起動し、AAA クライアントが削除されます。


 

AAA サーバ設定

この項では、Cisco Secure ACS の HTML インターフェイスで AAA サーバを設定する手順について説明します。AAA サーバの詳細については、「分散システムでの AAA サーバ」を参照してください。

特定の Cisco Secure ACS の分散システム機能を設定するには、他の AAA サーバを先に定義しておく必要があります。


ヒント AAA Servers テーブルが表示されない場合は、Interface Configuration をクリックし、Advanced Options をクリックしてから、Distributed System Settings チェックボックスをオンにします。


この項では、次のトピックについて取り上げます。

「AAA サーバ設定のオプション」

「AAA サーバの追加」

「AAA サーバの編集」

「AAA サーバの削除」

AAA サーバ設定のオプション

AAA サーバ設定により、Cisco Secure ACS が、その設定で表される AAA サーバと対話できるようになります。対応する設定が Cisco Secure ACS にない AAA サーバ、または Cisco Secure ACS での設定が不適切な AAA サーバは、Cisco Secure ACS からの AAA サービス(認証要求のプロキシなど)を受けられません。さらに、いくつかの分散システム機能では、分散システムに含まれる Cisco Secure ACS が AAA Servers テーブルに示されている必要があります。分散システム機能の詳細については、「分散システムについて」を参照してください。

Add AAA Server ページと AAA Server Setup ページには、次のオプションがあります。

AAA Server Name :AAA サーバ設定に割り当てる名前です。Cisco Secure ACS で設定する AAA サーバ ホスト名は、ネットワーク デバイスに設定されているホスト名と一致している必要はありません。AAA サーバ名には、わかりやすい一貫した命名規則を使うことを推奨します。AAA サーバ名の長さは最大 32 文字です。


) AAA サーバ名を送信すると、その名前は変更できなくなります。別の名前を AAA サーバに使用するには、その AAA サーバ設定を削除して、新しい名前で AAA サーバ設定を作成する必要があります。


AAA Server IP Address :ドット区切り 4 オクテット形式での、AAA サーバの IP アドレスです。たとえば、10.77.234.3 などです。

Key :AAA サーバの共有秘密情報です。AAA サーバのキーの最大長は 32 文字です。

正しく動作するためには、リモート AAA サーバと Cisco Secure ACS でキーが一致している必要があります。キーは大文字と小文字が区別されます。共有秘密情報は同期されないので、リモート AAA サーバと Cisco Secure ACS に共有秘密情報を入力する場合に間違いが起きることがあります。共有秘密情報が一致しない場合、Cisco Secure ACS はそのリモート AAA サーバからのパケットをすべて廃棄します。

Network Device Group :この AAA サーバが属する NDG の名前です。NDG に属さない AAA サーバにする場合は、Not Assigned を選択します。


) NDG を使うように Cisco Secure ACS を設定していない場合、このオプションは表示されません。NDG を使用可能にするには、Interface Configuration をクリックし、Advanced Options をクリックしてから、Network Device Groups チェックボックスをオンにします。


Log Update/Watchdog Packets from this remote AAA Server :リモート AAA サーバからこの Cisco Secure ACS に送信される、AAA クライアントからの更新パケット(ウォッチドッグ パケット)のロギングを使用可能にします。ウォッチドッグ パケットはセッションの中で定期的に送信される暫定的なパケットです。AAA クライアントに障害が発生した場合、したがって、セッション終了を表す終了パケットが受信されない場合、ウォッチドッグ パケットによってセッションのおおよその長さがわかります。

AAA Server Type :次の 3 つのタイプのいずれかです。

RADIUS :いずれかのタイプの RADIUS プロトコルを使うリモート AAA サーバを設定する場合は、このオプションを選択します。

TACACS+ :TACACS+ プロトコルを使うリモート AAA サーバを設定する場合は、このオプションを選択します。

Cisco Secure ACS :リモート AAA サーバが別の Cisco Secure ACS の場合は、このオプションを選択します。このオプションを利用すると、他の Cisco Secure ACS でしか利用できない機能(CiscoSecure ユーザ データベース複製やリモート ロギングなど)を設定できるようになります。


) リモートの Cisco Secure ACS はバージョン 2.1 以降を使用している必要があります。


Traffic Type :Traffic Type リストでは、この Cisco Secure ACS とリモート AAA サーバとの間のトラフィックの方向を定義します。Traffic Type リストには次のオプションがあります。

Inbound :転送されてきた要求をリモート AAA サーバが受け取りますが、その要求を別の AAA サーバへは転送しません。リモート AAA サーバから認証要求を転送できないようにする場合は、このオプションを選択します。

Outbound :リモート AAA サーバが認証要求を送信しますが、受信はしません。Outbound と設定されている AAA サーバに認証要求をプロキシするように Proxy Distribution Table のエントリが設定されている場合、認証要求は送信されません。

Inbound/Outbound :リモート AAA サーバが認証要求を転送し、受け取ります。分散テーブルに定義されているどの方法でも、選択したサーバが認証要求を処理できるようになります。

AAA サーバの追加

始める前に

リモート AAA サーバ設定を追加するときに使用できるオプションについては、「AAA サーバ設定のオプション」を参照してください。

Cisco Secure ACS からリモート AAA サーバに AAA サービスを提供するには、適切な AAA プロトコル(RADIUS または TACACS+)をサポートするのに必要なポートを通じた通信が、リモート AAA サーバと Cisco Secure ACS との間のゲートウェイ デバイスで許可されている必要があります。AAA プロトコルが使用するポートについては、「AAA プロトコル:TACACS+ および RADIUS」を参照してください。

AAA サーバを追加して、設定するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが表示されます。

ステップ 2 次のいずれかの操作をします。

NDG を使用している場合は、AAA サーバを割り当てる NDG の名前をクリックします。次に、[name] AAA Servers テーブルの下の Add Entry をクリックします。

NDG を使用可能にしていない場合に AAA サーバを追加するには、AAA Servers テーブルの下の Add Entry をクリックします。

Add AAA Server ページが表示されます。

ステップ 3 リモート AAA サーバの名前を AAA Server Name ボックスに入力します(最大 32 文字)。

ステップ 4 リモート AAA サーバに割り当てる IP アドレスを AAA Server IP Address ボックスに入力します。

ステップ 5 リモート AAA サーバと Cisco Secure ACS がデータの暗号化に使用する共有秘密情報を Key ボックスに入力します(最大 32 文字)。


) キーは大文字と小文字が区別されます。共有秘密情報が一致しない場合、Cisco Secure ACS はそのリモート AAA サーバからのパケットをすべて廃棄します。


ステップ 6 この AAA サーバが属する NDG の名前を Network Device Group リストで選択します。


) NDG を使用可能にするには、Interface Configuration をクリックし、Advanced Options をクリックしてから、Network Device Groups をクリックします。


ステップ 7 ウォッチドッグ パケットを使用可能にするには、 Log Update/Watchdog Packets from this remote AAA Server チェックボックスをオンにします。

ステップ 8 リモート AAA サーバに該当する AAA サーバ タイプを AAA Server Type リストで選択します。リモート AAA サーバが別の Cisco Secure ACS の場合は、 CiscoSecure ACS を選択してそれを指定します。

ステップ 9 リモート AAA サーバと Cisco Secure ACS との間で許可するトラフィックのタイプを Traffic Type リストで選択します。

ステップ 10 変更内容を保存して、すぐに適用する場合は、 Submit + Restart をクリックします。


ヒント 変更内容を保存して、後で適用する場合は、Submit をクリックします。変更を適用する準備ができたら、System Configuration をクリックし、Service Control をクリックしてから、Restart をクリックします。


) サービスが再起動されると、Logged-in User レポートがクリアされ、すべての Cisco Secure ACS サービスが一時的に中断されます。これは Max Sessions カウンタに影響し、このカウンタがゼロにリセットされます。



 

AAA サーバの編集

設定済みの AAA サーバの設定を編集するには、次の手順に従います。


) AAA サーバの名前は編集できません。AAA サーバの名前を変更するには、既存の AAA サーバのエントリを削除してから、新しい名前を使って AAA サーバのエントリを追加する必要があります。


始める前に

リモート AAA サーバのエントリを編集するときに使用できるオプションについては、「AAA サーバ設定のオプション」を参照してください。

Cisco Secure ACS からリモート AAA サーバに AAA サービスを提供するには、適切な AAA プロトコル(RADIUS または TACACS+)をサポートするのに必要なポートを通じた通信が、リモート AAA サーバと Cisco Secure ACS との間のゲートウェイ デバイスで許可されている必要があります。AAA プロトコルが使用するポートについては、「AAA プロトコル:TACACS+ および RADIUS」を参照してください。

AAA サーバを編集するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが表示されます。

ステップ 2 次のいずれかの操作をします。

NDG を使用している場合は、AAA サーバが割り当てられている NDG の名前をクリックします。次に、編集する AAA サーバの名前を AAA Servers テーブルでクリックします。

NDG を使用可能にしていない場合は、編集する AAA サーバの名前を AAA Servers テーブルでクリックします。

AAA Server Setup for X ページが表示されます。

ステップ 3 次の各フィールドで、新しい設定を入力するか選択します。

AAA Server IP Address

Key

Log Update/Watchdog Packets from this remote AAA Server

AAA Server Type

Traffic Type

ステップ 4 変更内容を保存して、すぐに適用する場合は、 Submit + Restart をクリックします。


ヒント 変更内容を保存して、後で適用する場合は、Submit をクリックします。変更を適用する準備ができたら、System Configuration をクリックし、Service Control をクリックしてから、Restart をクリックします。


) サービスが再起動されると、Logged-in User レポートがクリアされ、すべての Cisco Secure ACS サービスが一時的に中断されます。これは Max Sessions カウンタに影響し、このカウンタがゼロにリセットされます。



 

AAA サーバの削除

AAA サーバを削除するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが表示されます。

ステップ 2 次のいずれかの操作をします。

NDG を使用している場合は、AAA サーバが割り当てられている NDG の名前をクリックします。次に、AAA サーバの名前を AAA Servers テーブルでクリックします。

NDG を使用可能にしていない場合は、AAA サーバの名前を AAA Servers テーブルでクリックします。

AAA Server Setup for X ページが表示されます。

ステップ 3 AAA サーバを削除して、その削除をすぐに適用するには、 Delete + Restart をクリックします。


) サービスが再起動されると、Logged-in User レポートがクリアされ、すべての Cisco Secure ACS サービスが一時的に中断されます。再起動しないで AAA サーバを削除する場合は、1 つ前の手順で Delete をクリックします。ただし、これを実行した場合、システムを再起動するまで変更は有効になりません。再起動するには、System Configuration をクリックし、Service Control をクリックしてから、Restart をクリックします。


確認のダイアログボックスが表示されます。

ステップ 4 OK をクリックします。

Cisco Secure ACS が再起動を実行し、AAA サーバが削除されます。


 

リモート エージェントの設定

この項ではリモート エージェントについて説明し、Cisco Secure ACS の HTML インターフェイスでリモート エージェントを設定する手順を示します。

この項では、次のトピックについて取り上げます。

「リモート エージェントについて」

「リモート エージェント設定のオプション」

「リモート エージェントの追加」

「リモート エージェント設定の編集」

「リモート エージェント設定の削除」

リモート エージェントについて

リモート エージェントはネットワークのコンピュータ上で実行される小型のプログラムです。Cisco Secure ACS Appliance は、リモート ロギングや、Windows 外部ユーザ データベースを使用するユーザ認証に、リモート エージェントを使用できます。リモート ロギングを設定する前と、Windows 外部ユーザ データベースを使う認証を設定する前に、Network Configuration セクションの Remote Agents テーブルに最低 1 つのリモート エージェント設定を追加する必要があります。

リモート エージェントのインストールおよび設定方法を含むリモート エージェントの詳細については、『 Installation and Configuration Guide for Cisco Secure ACS Remote Agents 』を参照してください。

リモート エージェント設定のオプション

リモート エージェント設定により、Cisco Secure ACS が、その設定で表されるリモート エージェントと対話できるようになります。対応する設定が Cisco Secure ACS にないリモート エージェント、または Cisco Secure ACS での設定が不適切なリモート エージェントは、Cisco Secure ACS と通信できず、リモート エージェント設定、ロギング データ、Windows 認証要求などを受けられません。

Add Remote Agent ページと Remote Agent Setup ページには、次のオプションがあります。

Remote Agent Name :リモート エージェント設定に割り当てる名前です。リモート エージェントのロギングと Windows 認証を設定するには、リモート エージェントを名前で参照します。リモート エージェント名には、わかりやすい一貫した命名規則を使うことを推奨します。たとえば、リモート エージェントを実行するサーバのホスト名と同じ名前をリモート エージェント設定に割り当てます。リモート エージェント名の長さは最大 32 文字です。


) リモート エージェント名を送信すると、その名前は変更できなくなります。別の名前をリモート エージェントに使用するには、そのリモート エージェント設定を削除してから、新しい名前でリモート エージェント設定を作成して、そのリモート エージェントを使うリモート ロギングと Windows 認証の各設定を変更する必要があります。


Remote Agent IP Address :ドット区切り 4 オクテット形式での、リモート エージェントの IP アドレスです。たとえば、10.77.234.3 などです。

Remote Agent Port :リモート エージェントが Cisco Secure ACS からの通信を受信する TCP ポートです。TCP ポート番号の長さは最大 6 文字です。

ここで指定するポート番号と、リモート エージェントに設定されている受信用のポートが一致していないと、Cisco Secure ACS はリモート エージェントと通信できません。リモート エージェントの受信用ポート番号の設定については、『 Installation and Configuration Guide for Cisco Secure ACS Remote Agents 』を参照してください。

Network Device Group :このリモート エージェントが属する NDG の名前です。NDG に属さないリモート エージェントにする場合は、Not Assigned を選択します。


) NDG を使うように Cisco Secure ACS を設定していない場合、このオプションは表示されません。NDG を使用可能にするには、Interface Configuration をクリックし、Advanced Options をクリックしてから、Network Device Groups チェックボックスをオンにします。


これらの一連のオプションのほかに、Remote Agent Setup ページには次のオプションがあります。

Running Status :リモート エージェントの状態に関する情報です。
Cisco Secure ACS がリモート エージェントと通信できる場合は、リモート エージェントの動作期間が表示されます。Cisco Secure ACS がリモート エージェントと通信できない場合は、「Not responding」と表示されます。

Configuration Provider :リモート エージェントがリモート エージェント設定を受け取る Cisco Secure ACS を示します。


ヒント Cisco Secure ACS の名前をクリックすると、リモート エージェントにリモート エージェント設定を提供する Cisco Secure ACS の HTML インターフェイスにアクセスできます。リモート エージェントに設定データを提供する Cisco Secure ACS の HTML インターフェイスは、新しいブラウザ ウィンドウに表示されます。


Service Table :Configuration Provider の下には、リモート エージェントに関する情報を示すテーブルが表示されます。このテーブルには、次のカラムがあります。

Service :リモート エージェントが提供できるサービス(リモート ロギングと Windows 認証)のリスト。

Available :現在それぞれのサービスをリモート エージェントが提供できるかどうか。

Used by this ACS :ログイン先の Cisco Secure ACS が現在それぞれのサービスを使用しているかどうか。

リモート エージェントの追加

始める前に

リモート エージェント設定を追加するときに使用できるオプションについては、「リモート エージェント設定のオプション」を参照してください。

Cisco Secure ACS がリモート エージェントと通信するには、リモート エージェントで使用される TCP ポートを通じた通信が、リモート エージェントと Cisco Secure ACS との間のゲートウェイ デバイスで許可されている必要があります。リモート エージェントで使用されるポートの詳細については、『 Installation and Configuration Guide for Cisco Secure ACS Remote Agents 』を参照してください。

リモート エージェントを追加して、設定するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration セクションが表示されます。

ステップ 2 次のいずれかの操作をします。

NDG を使用している場合は、リモート エージェントを割り当てる NDG の名前をクリックします。次に、 NDG Remote Agents テーブルで Add Entry をクリックします。

NDG を使用していない場合は、Remote Agents テーブルで Add Entry をクリックします。

Add Remote Agent ページが表示されます。

ステップ 3 リモート エージェントの名前を Remote Agent Name ボックスに入力します(最大 32 文字)。

ステップ 4 リモート エージェントを実行するコンピュータの IP アドレスを Remote Agent IP Address ボックスに入力します。

ステップ 5 リモート エージェントが Cisco Secure ACS からの通信を受信する TCP ポートの番号を Port ボックスに入力します(最大 6 桁)。デフォルトの TCP ポートは 2003 です。


) ここで指定するポート番号と、リモート エージェントに設定されている受信用のポートが一致していないと、Cisco Secure ACS はリモート エージェントと通信できません。リモート エージェントの受信用ポート番号の設定については、『Installation and Configuration Guide for Cisco Secure ACS Remote Agents』を参照してください。


ステップ 6 このリモート エージェントが属する NDG の名前を Network Device Group リストで選択します。


) Network Device Group リストは NDG が使用可能になっていないと表示されません。NDG を使用可能にするには、Interface Configuration をクリックし、Advanced Options をクリックしてから、Network Device Groups をクリックします。


ステップ 7 変更内容を保存して、すぐに適用する場合は、 Submit + Restart をクリックします。


ヒント 変更内容を保存して、後で適用する場合は、Submit をクリックします。変更を適用する準備ができたら、System Configuration をクリックし、Service Control をクリックしてから、Restart をクリックします。


) サービスが再起動されると、Logged-in User レポートがクリアされ、すべての Cisco Secure ACS サービスが一時的に中断されます。これは Max Sessions カウンタに影響し、このカウンタがゼロにリセットされます。



 

リモート エージェント設定の編集

設定済みのリモート エージェントの設定を編集するには、次の手順に従います。


) リモート エージェントの名前は編集できません。別の名前をリモート エージェントに使用するには、そのリモート エージェント設定を削除してから、新しい名前でリモート エージェント設定を作成して、そのリモート エージェントを使うリモート ロギングと Windows 認証の各設定を変更する必要があります。


始める前に

リモート エージェント設定を編集するときに使用できるオプションについては、「リモート エージェント設定のオプション」を参照してください。

Cisco Secure ACS がリモート エージェントと通信するには、リモート エージェントで使用される TCP ポートを通じた通信が、リモート エージェントと Cisco Secure ACS との間のゲートウェイ デバイスで許可されている必要があります。リモート エージェントで使用されるポートの詳細については、『 Installation and Configuration Guide for Cisco Secure ACS Remote Agents 』を参照してください。

リモート エージェント設定を編集するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration セクションが表示されます。

ステップ 2 次のいずれかの操作をします。

a. NDG を使用している場合は、リモート エージェントが属している NDG の名前をクリックします。次に、編集するリモート エージェント設定の名前を NDG Remote Agents テーブルでクリックします。

b. NDG を使用していない場合は、編集するリモート エージェント設定の名前を Remote Agents テーブルでクリックします。

Remote Agent Setup for agent ページが表示されます。

ステップ 3 次の各オプションで、新しい設定を入力するか選択します。

Remote Agent IP Address

Port

Network Device Group


) ログイン先の Cisco Secure ACS がリモート エージェントの設定データを提供していない場合、これらのオプションは編集できません。Configuration Provider としてリストに表示されている Cisco Secure ACS の名前をクリックすると、リモート エージェントに設定データを提供している Cisco Secure ACS の HTML インターフェイスにアクセスできます。


ステップ 4 変更内容を保存して、すぐに適用する場合は、 Submit + Restart をクリックします。


ヒント 変更内容を保存して、後で適用する場合は、Submit をクリックします。変更を適用する準備ができたら、System Configuration をクリックし、Service Control をクリックしてから、Restart をクリックします。


) サービスが再起動されると、Logged-in User レポートがクリアされ、すべての Cisco Secure ACS サービスが一時的に中断されます。これは Max Sessions カウンタに影響し、このカウンタがゼロにリセットされます。



 

リモート エージェント設定の削除


) リモート ロギングまたは Windows 認証にリモート エージェントを使うように Cisco Secure ACS を設定している場合、そのリモート エージェントを削除することはできません。


リモート エージェント設定を削除するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration セクションが表示されます。

ステップ 2 次のいずれかの操作をします。

NDG を使用している場合は、リモート エージェントが属している NDG の名前をクリックします。次に、削除するリモート エージェント設定の名前を NDG Remote Agents テーブルでクリックします。

NDG を使用していない場合は、削除するリモート エージェント設定の名前を Remote Agents テーブルでクリックします。

Remote Agent Setup for agent ページが表示されます。

ステップ 3 リモート エージェントを削除して、その削除をすぐに適用するには、 Delete + Restart をクリックします。


) サービスが再起動されると、Logged-in User レポートがクリアされ、すべての Cisco Secure ACS サービスが一時的に中断されます。再起動しないでリモート エージェントを削除する場合は、1 つ前の手順で Delete をクリックします。ただし、これを実行した場合、サービスを再起動するまで変更は有効になりません。再起動するには、System Configuration をクリックし、Service Control をクリックしてから、Restart をクリックします。


確認のダイアログボックスが表示されます。

ステップ 4 OK をクリックします。

Cisco Secure ACS がサービスを再起動し、リモート エージェント設定が削除されます。


 

ネットワーク デバイス グループの設定

ネットワーク デバイス グループは、ネットワーク デバイスの集まりを単一の論理的なグループとして表示および管理できる高度な機能です。管理しやすくするために、グループ内のすべてのデバイスを参照するために使用する名前を各グループに割り当てることができます。この操作によって、個々のルータまたはネットワーク アクセス デバイスなどの単一の個別デバイスと、ルータまたは AAA サーバの集合である NDG という、2 つのレベルのネットワーク デバイスが Cisco Secure ACS 内に作成されます。


注意 HTML インターフェイスで Network Device Groups テーブルを参照するには、Interface Configuration セクションの Advanced Options ページで Network Device Groups オプションを選択する必要があります。Interface Configuration の他の領域と異なり、Network Device Groups オプションを選択解除すると、アクティブな NDG を非表示にできます。したがって、NDG を設定する場合は、Advanced Option ページの Network Device Groups オプションを選択したままにしておく必要があります。

この項では、次のトピックについて取り上げます。

「ネットワーク デバイス グループの追加」

「未割り当ての AAA クライアントまたは AAA サーバの NDG への割り当て」

「AAA クライアントまたは AAA サーバの NDG への再割り当て」

「ネットワーク デバイス グループの名前の変更」

「ネットワーク デバイス グループの削除」

ネットワーク デバイス グループの追加

ユーザまたはユーザのグループを NDG に割り当てることができます。詳細については、次の各セクションを参照してください。

「ユーザの TACACS+ イネーブル パスワード オプションの設定」

「ユーザ グループのイネーブル特権オプションの設定」

NDG を追加するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが表示されます。

ステップ 2 Network Device Groups テーブルの下の Add Entry をクリックします。


ヒント Network Device Groups テーブルが表示されない場合は、Interface Configuration をクリックし、Advanced Options をクリックしてから、Network Device Groups を選択します。

ステップ 3 新しい NDG の名前を Network Device Group Name ボックスに入力します。


ヒント 名前の長さは最大 24 文字です。引用符(")とカンマ(,)は使用できません。スペースは使用できます。

ステップ 4 Submit をクリックします。

新しい NDG が Network Device Groups テーブルに表示されます。

ステップ 5 新しく作成した NDG に AAA クライアントまたは AAA サーバを含めるには、次のいずれかの手順に従います。

「AAA クライアントの追加」

「AAA サーバの追加」

「未割り当ての AAA クライアントまたは AAA サーバの NDG への割り当て」

「AAA クライアントまたは AAA サーバの NDG への再割り当て」


 

未割り当ての AAA クライアントまたは AAA サーバの NDG への割り当て

割り当てられていない AAA クライアントまたは AAA サーバを NDG に割り当てるには、次の手順に従います。この手順を開始する前に、割り当てるクライアントまたはサーバを設定しておく必要があります。また、そのクライアントまたはサーバがそれぞれ Not Assigned AAA Clients テーブルまたは Not Assigned AAA Servers テーブルに表示されている必要があります。

ネットワーク デバイスを NDG に割り当てるには、次の手順に従います。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが表示されます。

ステップ 2 Network Device Groups テーブルで Not Assigned をクリックします。


ヒント Network Device Groups テーブルが表示されない場合は、Interface Configuration をクリックし、Advanced Options をクリックしてから、Network Device Groups チェックボックスをオンにします。

ステップ 3 NDG に割り当てるネットワーク デバイスの名前をクリックします。

ステップ 4 AAA クライアントまたは AAA サーバを割り当てる NDG を、Network Device Groups リストで選択します。

ステップ 5 Submit をクリックします。

クライアントまたはサーバが NDG に割り当てられます。


 

AAA クライアントまたは AAA サーバの NDG への再割り当て

新しい NDG に AAA クライアントまたは AAA サーバを再割り当てするには、次の手順に従います。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが表示されます。

ステップ 2 ネットワーク デバイスの現在のグループの名前を Network Device Groups テーブルでクリックします。

ステップ 3 新しい NDG に割り当てるクライアントまたはサーバの名前を、それぞれ AAA Clients テーブルまたは AAA Servers テーブルでクリックします。

ステップ 4 ネットワーク デバイスを再割り当てする NDG の名前を、Network Device Group リストで選択します。

ステップ 5 Submit をクリックします。

選択した NDG にネットワーク デバイスが割り当てられます。


 

ネットワーク デバイス グループの名前の変更


注意 NDG の名前を変更する場合は、元の NDG 名を呼び出す NAR またはその他の Shared Profile Component(SPC; 共有プロファイル コンポーネント)がないことを確認する必要があります。元の NDG がまだ呼び出されるかどうかは、Cisco Secure ACS で自動的にはチェックされません。存在しない(または名前を変更した)NDG を呼び出す SPC がユーザの認証要求に組み込まれていると、認証の試みに失敗し、ユーザは拒否されます。

NDG の名前を変更するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが表示されます。

ステップ 2 名前を変更する NDG を、Network Device Groups テーブルでクリックします。


ヒント Network Device Groups テーブルが表示されない場合は、Interface Configuration をクリックし、Advanced Options をクリックしてから、Network Device Groups チェックボックスをオンにします。

ステップ 3 ページ下部の Rename をクリックします。

Rename Network Device Group ページが表示されます。

ステップ 4 新しい名前を Network Device Group Name ボックスに入力します(最大 24 文字)。

ステップ 5 Submit をクリックします。

NDG の名前が変更されます。


 

ネットワーク デバイス グループの削除

NDG を削除すると、その NDG に属していたすべての AAA クライアントと AAA サーバが、それぞれ Not Assigned AAA Clients テーブルまたは Not Assigned AAA Servers テーブルに表示されます。


ヒント 削除する前に、AAA クライアントと AAA サーバの NDG を空にしておいた方が便利な場合があります。これを手作業で行うには、「AAA クライアントまたは AAA サーバの NDG への再割り当て」の手順に従います。または、再割り当てするデバイスが大量にある場合は、RDBMS 同期 機能を使います。



注意 NDG を削除する場合は、元の NDG を呼び出す NAR またはその他の SPC がないことを確認する必要があります。元の NDG がまだ呼び出されるかどうかは、Cisco Secure ACS で自動的にはチェックされません。存在しない(または名前を変更した)NDG を呼び出す SPC がユーザの認証要求に組み込まれていると、認証の試みに失敗し、ユーザは拒否されます。

NDG を削除するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが表示されます。

ステップ 2 削除する NDG を、Network Device Groups テーブルでクリックします。


ヒント Network Device Groups テーブルが表示されない場合は、Interface Configuration をクリックし、Advanced Options をクリックしてから、Network Device Groups チェックボックスをオンにします。

ステップ 3 ページ下部の Delete Group をクリックします。

確認のダイアログボックスが表示されます。

ステップ 4 OK をクリックします。

NDG が削除され、その NDG の名前が Network Device Groups テーブルから削除されます。NDG 内にあった AAA クライアントと AAA サーバは、Not Assigned AAA Clients テーブルまたは Not Assigned AAA Servers テーブルに表示されます。


 

Proxy Distribution Table の設定

この項では Proxy Distribution Table について説明し、Proxy Distribution Table の操作方法を示します。

この項では、次のトピックについて取り上げます。

「Proxy Distribution Table について」

「Proxy Distribution Table の新しいエントリの追加」

「配信エントリの文字列照合順序のソート」

「Proxy Distribution Table のエントリの編集」

「Proxy Distribution Table のエントリの削除」

Proxy Distribution Table について

Distributed Systems Settings を使用可能にしている場合、Network Configuration をクリックすると、Proxy Distribution Table が表示されます。


ヒント Cisco Secure ACS で Distributed Systems Settings を使用可能にするには、Interface Configuration をクリックし、Advanced Options をクリックしてから、Distributed System Settings チェックボックスをオンにします。


Proxy Distribution Table には、プロキシする文字列、プロキシ先の AAA サーバ、文字列をストリッピングするかどうか、およびアカウンティング情報の送信先(Local/Remote、Remote、または Local)を示すエントリがあります。プロキシ機能の詳細については、「分散システムでのプロキシ」を参照してください。

管理者が定義して Proxy Distribution Table に格納するエントリは、Cisco Secure ACS が AAA クライアントから受信する各認証要求の回転式入口と考えることができます。Proxy Distribution Table には、認証要求をその転送先に応じて定義します。プロキシ情報を持つ Proxy Distribution Table 内のエントリと一致する認証要求が見つかると、Cisco Secure ACS がその要求を適切な AAA サーバに転送します。

Proxy Distribution Table の Character String カラムには、必ず「(Default)」というエントリがあります。「(Default)」エントリは、ローカルの Cisco Secure ACS が受信する、定義済みの他のどの文字列とも一致しない認証要求と一致します。「(Default)」エントリの文字列定義は変更できませんが、「(Default)」エントリと一致する認証要求の配信を変更することができます。インストール時に「(Default)」エントリに関連付けられる AAA サーバは、ローカルの Cisco Secure ACS です。リモートで処理する認証要求と一致する文字列を定義するよりも、ローカルに処理する認証要求と一致する文字列を定義する方が簡単な場合があります。そのような場合は、「(Default)」エントリをリモート AAA サーバに関連付けることで、もっと簡単に記述できるエントリを使って Proxy Distribution Table を設定できます。

Proxy Distribution Table の新しいエントリの追加

Proxy Distribution Table のエントリを作成するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが表示されます。

ステップ 2 Proxy Distribution Table の下の Add Entry をクリックします。


) Proxy Distribution Table が表示されない場合は、Interface Configuration をクリックし、Advanced Options をクリックしてから、Distributed System Settings チェックボックスをオンにします。


ステップ 3 ユーザがダイヤルインして認証を求めたときに転送する文字列を、区切り文字も含めて Character String ボックスに入力します。たとえば、.uk と入力します。


) 不等号記号(< と >)は使用できません。


ステップ 4 入力した文字列がユーザ名の先頭に付く場合は、Position リストで Prefix を選択し、ユーザ名の末尾に付く場合は Suffix を選択します。

ステップ 5 入力した文字列をユーザ名から除去する場合は、Strip リストで Yes を選択し、そのまま残しておく場合は No を選択します。

ステップ 6 プロキシに使う AAA サーバを AAA Servers カラムで選択します。選択した項目を Forward To カラムに移すには --> (右矢印ボタン)をクリックします。


ヒント プロキシ サーバに障害が起きた場合のバックアップ プロキシとして使う追加の AAA サーバを選択することもできます。AAA サーバの順序を設定するには、サーバ名を Forward To カラムでクリックしてから、Up または Down をクリックして、適切な位置に項目を移動します。


ヒント 使用したいサーバがリストにない場合は、Network Configuration をクリックし、AAA Servers をクリックしてから、Add Entry をクリックして、情報を入力します。

ステップ 7 アカウンティング情報をレポートする領域を、Send Accounting Information リストで選択します。

Local :アカウンティング パケットをローカルの Cisco Secure ACS に保持します。

Remote :アカウンティング パケットをリモートの Cisco Secure ACS に送信します。

Local/Remote :アカウンティング パケットをローカルの Cisco Secure ACS に保持して、リモートの Cisco Secure ACS に送信します。


ヒント この情報が特に重要なのは、Max Sessions 機能を使用して、ユーザに許可する接続数を制御している場合です。Max Sessions はアカウンティングの開始レコードと終了レコードに依存し、Max Sessions カウンタの記録場所はアカウンティング情報の送信先に応じて決まります。Failed Attempts ログと Logged in Users レポートも、アカウンティング レコードの送信先に影響されます。

ステップ 8 完了後、 Submit または Submit + Restart をクリックします。


 

配信エントリの文字列照合順序のソート

この手順で、ユーザがダイヤルインしたときに Cisco Secure ACS が Proxy Distribution Table 内で文字列エントリを検索する優先順位を設定できます。

Cisco Secure ACS が Proxy Distribution Table 内でエントリを検索する順序を指定するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが表示されます。

ステップ 2 Proxy Distribution Table の下の Sort Entries をクリックします。


ヒント エントリをソートする前に、(Default) テーブルエントリ以外に最低 2 つの固有の Proxy Distribution Table エントリを設定しておく必要があります。

ステップ 3 順序を変更する文字列エントリを選択し、 Up または Down をクリックして位置を移動して、検索順序を指定します。

ステップ 4 ソートの完了後、 Submit または Submit + Restart をクリックします。


 

Proxy Distribution Table のエントリの編集

Proxy Distribution Table のエントリを編集するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが表示されます。

ステップ 2 編集する配信エントリを、Proxy Distribution Table の Character String カラムでクリックします。

Edit Proxy Distribution Entry ページが表示されます。

ステップ 3 必要に応じてエントリを編集します。


ヒント 配信エントリを構成するパラメータについては、「Proxy Distribution Table の新しいエントリの追加」を参照してください。

ステップ 4 エントリの編集の完了後、 Submit または Submit + Restart をクリックします。


 

Proxy Distribution Table のエントリの削除

Proxy Distribution Table のエントリを削除するには、次の手順に従います。


ステップ 1 ナビゲーション バーの Network Configuration をクリックします。

Network Configuration ページが表示されます。

ステップ 2 削除する配信エントリを、Proxy Distribution Table の Character String カラムでクリックします。

Edit Proxy Distribution Entry ページが表示されます。

ステップ 3 Delete をクリックします。

確認のダイアログボックスが表示されます。

ステップ 4 OK をクリックします。

配信エントリが Proxy Distribution Table から削除されます。